در این یه هفته تا ۱۰ روز گذشته موجی از هک سایت های معتبر رو داشتیم.

گروه  Kdms مسئول هک شدن این سایت ها بود. سایت های Alexa، Avira، AVG و Red Tube در مرحله اول و سپس Metasploit و Rapid7 و بعد هم Eset و Bitdefender.

نکته مشترک سایت های گفته شده، سرویس دهنده های دامنه هاشونه. مثلا اون ۴ سایت اول همگی وسیله  Network Solutions ثبت شدند. شرایط هک، انگشت اتهام رو به سوی ثبت کننده های دامنه نشونه گرفته و خب درست هم است. مشخص شد که  Network Solutions به خاطر فریب خوردن یکی از کارمندهاش در یک حمله فیشینگ، بهش نفوذ شده. هکرها پس از نفوذ به این سرویس دهنده تونستند که DNS دامنه ها رو تغییر بدن به سرورهای خودشون که شامل پیام زیر بود:

بگذریم از حواشی و پیامشون و اینکه در ابتدا کارشناس ها چی فکر می کردن و بعدش به چه نتیجه ای رسیدن. اونها به جای خودش مهمه ولی از دید من نکته مهم تری وجود داره: نقطه شروع هک.

در سری بعدی سایت ها که متا اسپلویت و رپید۷ بود، شیوه تغییر DNS از فیشینگ هم ساده تر بود و یه جورایی شرم آور برای سرویس دهنده. هکرها با ارسال یه فکس تقلبی به register.com اونها رو فریب دادن تا DNS رو تغییر بدن. به قول HD Moore مدیر تحقیقات شرکت امنیتی rapid7 این هک شبیه اتفاق های سال ۱۹۶۴ بوده.

سرویس دهنده هایی در این سطح که کلاینت هایی در سطح جهانی دارند باید دقت بیشتری در سیستم های امنیتی داشته باشند. اول اینکه باید مروری بر دانش کارمندهاشون بکنند. در این شرایط معمولا کارشناس های امنیتی پیشنهاد برگذاری مانورهای امنیتی مثل حملات شبیه سازی شده فیشینگ رو می دن. دوم اینکه الگوریتم ثبت و تغییر اطلاعات کاربریشون رو به روز کنند و مطابق پیشرفت هکرها، خودشون رو ارتقا بدن.

من بارها و بارها در همین وبلاگ در مورد فیشینگ و حدودش گفتم و اینکه یک حمله موفق فیشینگ می تونه چه تبعاتی رو در پی داشته باشه. مهمترین نکته در فیشینگ اینه که کم دانش ترین کارمند شما می تونه کل سیستم رو زمین بزنه.

سایت IBTimes UK تونسته از طریق اکانت توییتر گروه KDMS و سپس از طریق ایمیلشون باهاشون یه مصاحبه رو ترتیب بده. جالبه بدونید که تا قبلا از هفته پیش کسی اسمی از این گروه نشنیده بود.

این گروه که از ۴ فلسطینی تشکیل شده و گویا نگارش انگلیسی خوبی هم نداشتن، گفته اند که ۳ هدف دارن:
آشنا کردن دنیا با فلسطین (از صطلاح قانونی Unlawfully murdered برای فلسطین استفاده کردند)
نشون بدن که امنیت کامل وجود نداره
سایت های معتبر و شناخته شده رو هک کنند تا پیامشون در تمام دنیا شنیده بشه

وقتی ازشون پرسیدن که بخشی از گروه انانیموس اند یا خیر، پاسخ همیشگی گروه های دیگه رو دادند: “ناراحت می شیم وقتی مردم فکر می کنند انانیموس یه گروهه، اون یه ایده است و هر کسی می تونه انانیموس باشه.”

منبع و منبع و منبع

یه پست جالب دیدم از Errata Security دیدم در مورد ریشه اصطلاح شارد (Shard) در دنیای بزرگ داده (Big Data).

شارد اصطلاحیه که در تکنیک های چند تکه کردن دیتابیس های NoSQL (مانند MongoDB) استفاده می شه.

احتمالا تا حالا اسم بازیهای MMORPG رو شنیدین یا حداقل تبلیغای نسخه فارسی بعضی هاشون رو توی سایت های ایرانی دیدین. بازیهایی مثل جنگ خان ها. اولین بازی آنلاین محبوب بر اساس پذیرفتن نقش یک کاراکتر در بازی، به سال ۱۹۹۶ بر می گرده، به اسم Ultima Online. در آن زمان این بازی ۲۵۰ هزار کاربر داشت که در هر سرور فقط چند صد نفر می تونستن آنلاین باشند. بنابراین بازی می بایست تعداد زیادی سرور داشته باشه و کسانی که روی هر سرور بازی می کردند، فقط کاربران همون سرور رو آنلاین می دیدند.

در شروع بازی Ultima Online فیلمی نشون داده می شد که داستان جادوگری به اسم موردین رو تعریف می کرد که قصد داشته دنیا رو در یک کریستال محبوس کنه و زمانی که شکست می خوره، این کریستال می شکنه و جهان های موازی به وجود می آن. از اون موقع شارد اصطلاحی بود که برای سرورهای چندگانه استفاده می شد. بازیهای پرطرفدار دیگری اومدند که از واژه های “سرور” و “دنیا” استفاده کردند ولی بازیکن ها همچنان بهشون شارد می گفتن. وقتی که زمان شکستن محدودیت های SQL رسید، کاربرهای قدیمی این بازیها اصطلاحات خودشون رو به محیط کار آوردن و شارد کردن دیتابیس ها به وجود اومد.

پ ن: توصیه می کنم کارهای این گروه رو دنبال کنید. یه ابزار رو آماده کردن به اسم masscan که با بهینه سازی نحوه استفاده از سخت افزار و پورت های شبکه، اسکن های خیلی وسیعی مثل اسکن پورت ۱۶۱ رو طی چند ساعت انجام می دن.

دیروز ایمیلی به کاربرهای یک سرویس دهنده وی بی ان رسید با این مضمون که ما به دلایلی مجبوریم کلیه اطلاعات کاربری شما رو در اختیار مقامات امنیتی آمریکا قرار بدیم. سرویس دهنده بلافاصله واکنش نشون داد و گفت که ایمیل تقلبی بوده. ولی چطور یه نفر ایمیل همه کاربرها رو داشته؟

مقصر خود سرویس دهنده است و مشکل امنیتی البته در نرم افزار WHMCS که مورد استفاده سرویس دهنده های میزبانی اینترنت و وی پی اسه برای کنترل کاربرها و سیستم فروش و پشتیبانی و غیره.

هفته گذشته یک مشکل امنیتی در این نرم افزار عمومی شد. مشکل در بخشی از اسکریپت ثبت داده ها بوده که ورودی رو بررسی نمی کرده برای کاراکترهای خاص و دستورات اس کیو ال. بذارید یه نگاهی بهش بندازیم

می بینید که توی این دستور شرطی چک می کنه که آیا ۱۱ کارکاکتر اول ورودی AES_ENCRYPT است یا نه. کافیه اطلاعات ورودی با این String شروع بشه و بقیه اش یه کد باشه برای تزریق، اینجوری اون کد بدون هیچ محدودیتی در دیتابیس اجرا می شه.

بلافاصله بعد از اعلام این نقص، آپدیت برای این نرم افزار اومد که خب فاصله ارائه پچ و آپدیت تا زمان نصبش در همه استفاده کننده ها، به هکرها فرصت می ده که به کارشون برسن.

برای هک کردن ستفاده کننده ها از این نرم افزار کافیه که کاربر سایت باشید و از طریق هر صفحه ای که تغییری در دیتابیس می ده، کد خودتون رو اجرا کنید. طی بررسی هایی که انجام شده یکی از روش های انجام این هک استفاده از فرم ثبت نامه. می دونیم که با فرم ثبت نام ما یه سری ورودی رو به سمت دیتابیس می فرستیم.

یک گروه امنیتی با ایجاد یک هانی پات* تونسته یکی از روش های مورد استفاده هکرها رو به دست بیاره. بذارید کدها رو ببینیم

در خط اول می بینیم که هکر به جای firstname یک کد رو به دیتابیس تزریق کرده که بتونه باهاش نام کاربری، ایمیل و پسورد هش شده موجود در جدول tbladmins رو به دست بیاره. همونجور که از اسمش می تونید حدس بزنید، این جدول حاوی اطلاعات کاربری ادمین هاست.

چه باید کارد:

اگر سرویس دهنده اید سریعا WHMCS رو آپدیت کنید و اگر کاربرید از سرویس دهنده بخواید که این کار رو بکنه چون اطلاعاتتون در خطره.

همچنین Cloudflare که محصولاتی برای بالا بردن امنیت سرورها داره در Web Application Firewall (WAF) تمهیداتی در نظر گرفته برای جلوگیری از این حمله حتی اگر WHMCS به روز نشده باشه که می تونید از سایت خودشون اطلاعات کامل رو بخونید.

منبع و منبع و منبع و منبع